发布日期：2012-02-15
更新日期：2012-02-16

受影响系统：

Lenovo Lenovo ThinkManagement Console  9.0.3

描述：

---

BUGTRAQ  ID: 52023

Lenovo ThinkManagement Console是存货管理工具。

Lenovo ThinkManagement Console在实现上存在安全漏洞，可被恶意用户利用操作某些数据或控制用户系统。

1）ServerSetup web service (/landesk/managementsuite/core/core.anonymous/ServerSetup.asmx)允许非法访问某些SOAP操作，可被利用上传任意文件到Web root, 通过 "RunAMTCommand"操作中的 "-PutUpdateFileCore"命令。

2）在处理某些SOAP操作时，VulCore (/WSVulnerabilityCore/VulCore.asmx)中存在输入验证漏洞，可通过 "SetTaskLogByFile"操作的 "filename" 参数中的目录遍历序列删除任意文件。

<*来源：Andrea Micalizzi
  
  链接：http://secunia.com/advisories/47666/
*>

建议：

---

厂商补丁：

Lenovo
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.lenovo.com/ca/en/

浏览次数：2164
严重程度：0（网友投票）